Yaygın Siber Saldırı, Google Chrome Uzantılarını Hedef Alarak 2,6 Milyon Cihazı Tehlikeye Attı”

Az önce ne oldu? Siber güvenlik araştırmacıları, tatil sezonunda Chrome Web Mağazası’ndaki tarayıcı uzantılarını hedef alan yaygın bir saldırıyı ortaya çıkardı. Kampanya en az 33 uzantıyı etkiledi ve yaklaşık 2,6 milyon cihazdan potansiyel olarak veri tehlikeye attı. Veri kaybı önleme hizmeti olan Cyberhaven, kendi uzantılarından birine gömülü kötü amaçlı kod tespit ettiğinde ihlal ortaya çıktı.

Noel arifesinde başlayan saldırı, Chrome Web Mağazası’nın geliştirici kimlik doğrulama sistemindeki bir güvenlik açığını istismar etti . Saldırganlar, uzantı geliştiricilerinin hesaplarına erişmek için karmaşık hedefli kimlik avı teknikleri kullandı ve bu sayede popüler uzantıların kötü amaçlı sürümlerini yükleyebildiler.

Kullanıcıların yanlışlıkla e-postalara veya web sitelerine hassas veriler girmesini önlemek için tasarlanan Cyberhaven’ın uzantısı, tehlikeye atılan ilk uzantılardan biriydi. Şirket, “Ekibimiz, Noel Arifesinde gerçekleşen ve Cyberhaven’ın Chrome uzantısını etkileyen kötü amaçlı bir siber saldırıyı doğruladı,” dedi . “Kamuya açık raporlar, bu saldırının çok çeşitli şirketlerdeki Chrome uzantı geliştiricilerini hedef alan daha geniş bir kampanyanın parçası olduğunu gösteriyor.”

Cyberhaven’ın uzantısının tehlikeye atılmış sürümü olan 24.10.4 sürümü, 25 Aralık’tan 26 Aralık’a kadar 31 saat boyunca kullanılabilirdi. Bu süre zarfında, Cyberhaven yüklü Chrome tarayıcıları kötü amaçlı kodu otomatik olarak indirip çalıştırırdı. Uzantının analizi, Cyberhaven’ın resmi alan adını taklit eden kötü amaçlı bir siteden indirilen farklı yüklerle etkileşime girecek şekilde tasarlandığını ortaya koydu.

Cyberhaven ihlali bildirildi. Çalışan kimlik avı yaptı ve kötü amaçlı Chrome eklentisini yükledi.

Komuta ve Kontrol:
149.28.124.84
cyberhavenext[.]pro

Dosya Karmaları:
content.js AC5CC8BCC05AC27A8F189134C2E3300863B317FB

işçi.js 0B871BDEE9D8302A48D6D6511228CAF67A08EC60

– Christopher Stanley (@cstanley) 26 Aralık 2024

Araştırmacılar saldırıyı daha derinlemesine inceledikçe, bunun Cyberhaven’ın çok ötesine uzandığını buldular. Tarayıcı uzantısı analizi ve yönetim firması olan Secure Annex’in kurucusu John Tuckner, en az 19 başka Chrome uzantısının da benzer şekilde tehlikeye atıldığını bildirdi. Saldırganlar aynı hedefli kimlik avı kampanyasını kullandılar ve yükleri yayınlamak ve kimlik doğrulama bilgilerini toplamak için özel görünümlü alan adları kullandılar.

Bu tehlikeye atılan uzantıların toplu etkisi şaşırtıcıdır ve etkilenen 20 uzantıda tahmini 1,46 milyon indirme olmuştur. Bu saldırı ayrıca izole bir olay değildir. Benzer bir kampanya 2019’da hem Chrome hem de Firefox uzantılarını hedef almış ve Tesla, Blue Origin ve Symantec gibi büyük şirketlerin ağlarındaki cihazlar da dahil olmak üzere dört milyon cihazı tehlikeye atmıştır.

Daha ileri araştırmalar daha da endişe verici bir eğilimi ortaya çıkardı. Tehlikeye atılan eklentilerden biri olan Reader Mode, en azından Nisan 2023’e kadar uzanan ayrı bir kampanyanın parçasıydı. Bu erken tehlike, bir tarayıcının yaptığı her web ziyareti hakkında ayrıntılı veri toplayan bir para kazanma kodu kütüphanesine bağlanmıştı. Tuckner, potansiyel olarak hassas verileri toplamak için bu kütüphaneyi kullanan, toplam 1,14 milyon yüklemeye sahip 13 Chrome eklentisi tespit etti.

Olay, tarayıcı uzantılarının nasıl daha iyi güvence altına alınacağı konusunda tartışmaları ateşledi. Tuckner olası bir çözüm öneriyor: kuruluşlar, yalnızca seçili uzantıların çalışmasına izin verirken diğerlerinin tümünü engelleyen bir tarayıcı varlık yönetimi listesi uygulayabilir.